ISO27001（ISMS）を取得するデメリットとは

2023年2月1日

こんにちは、本日は、ISO27001（ISMS）を取得するデメリットについてお話ししたいと思います。

結論から言いますと、

(1)費用がかかる
(2)手間がかかる
(3)業務効率が落ちる（場合がある）

ということです。

それでは詳しく見ていきましょう。

当社のISOコンサル実績はこちら

ISO27001（ISMS）を取得するデメリットとは？

(1)費用がかかる
企業の規模によって異なりますが、ISO27001（ISMS）を取得する際には、以下のような費用がかかります。

・審査をしてもらうための費用
ISO27001（ISMS）では、取得するまでに、2回の審査を受けることが必要です。
また、取得してからも毎年同じ時期に審査を受けなければいけないため、その都度申請審査費用が発生します。
ちなみに、毎年の審査とは、ISO27001（ISMS）の定期審査には1年ごとに行われる維持審査と、3年の有効期限が切れる前に行う更新審査があります。

・設備投資費用
次に、設備投資費用です。
ISO27001（ISMS）では、設備投資をすることは要求されていませんので、全て人の作業によるソフト対応でも可能ではありますが、業務効率や確実性を考えた場合、お金はかかっても設備投資をする方が、中長期的にはかけたコストに見合う効果を期待できると言うことで、入退館管理や、セキュリティが高い場所の施錠管理、隔壁やパーションの設置、ソフトウェアを導入するなどはありえますね。

・コンサルタント費用
更に、自社でISO27001（ISMS）の仕組の構築が難しい場合には、外部のコンサルタントに委託して、仕組の構築や仕組通りの運用が出来ているかのチェック等、審査に合格するまでの費用が発生します。

コンサル会社によっては、審査に合格する前に毎年支援をしている会社もありますので、その場合、ISO27001（ISMS）を会社で維持しようとした場合、ずっと支払い続けることもあり得ます。

外部にお任せするのか、できるだけ自社で運用して審査に合格していくのか、ここは検討の余地がありそうです。

(2)手間がかかる
次に手間の話に移ります。

・書類やマニュアル作成の手間
審査を受けるには、ISO27001（ISMS）の仕組、ルール、具体的には、情報セキュリティ方針・情報セキュリティマネジメントマニュアル・情報資産台帳、情報毎のリスクアセスメント結果、適用宣言書・安全管理規定などの文書類や、帳票類の作り込みが必要になります。

・運用にかかる手間
ISO27001（ISMS）の仕組、ルールを作れば、作った仕組、ルールを社内に教育することが必要です。更に、仕組やルールに従って運用した記録類の作成、保管が必要になります。
これらの仕組やルール、運用証拠は、審査の際に提示することになりますので、検索できるようにしておく必要があります。

・審査を受ける手間
初回認証登録をするまでには、２段階での審査を受け、認証した後は、毎年の審査が控えています。

そのため、審査機関との審査の日程調整、審査当日に、審査員へ仕組やルールを説明し、運用証拠を提示するなどの対応、

更に、審査で不適合指摘が出た場合に、修正処置、原因究明、再発防止を行い、その証拠を審査員とやりとりすることなどが手間として考えられます。

費用と手間をどう考えるべきか

デメリットがあるとは言え、お客様要求や、入札参加資格を得るため等、ISO27001（ISMS）をどうしても認証しなければならない場合、費用や手間をどう考えればいいのでしょうか。

費用や手間とISO27001（ISMS）認証の価値を天秤にかけて考えてみましょう。

(1)お客様との継続取引、入札参加につながる
お客様要求や入札参加ができれば、その後の売上や利益の拡大につながることになります。
ここで、かけた費用を回収できるのであれば、費用面についてはクリアできるかもしれません。

(2)新規顧客との取引につながる（かも）
ISO27001（ISMS）認証を持っていることによって、持っていないその他の競合との情報管理における安心や信頼を高めることが出来、新規顧客との取引につながりやすくなります。
皆さんが、発注する側の視点に立てば、ISO27001（ISMS）認証を持っている会社の方が、上司の方へ推薦しやすいのではないでしょうか。

(3)手間
ISO27001（ISMS）認証するまでの手間を、自社で出来る範囲で行うのか、全て外部に任せるのかは、重要な判断と言えます。

自社で出来る範囲で行う場合には、その作業を通じてシステムやルールの理解が進み、自社にマッチしたものかを確認して、無理があれば修正しながら進みますので、運用も自社で出来やすく、セキュリティレベルはあがることが期待されます。

一方で、全て外部に委託する場合、できあがった仕組ルールが自社にまっちしているかどうかを問わず、運用を開始するケースがあります。そうなると、二重管理のリスクがあったり、運用結果も外部のコンサルタントが作ってしまうと、ルールも運用結果も知らないまま、審査を受けて、形だけの認証になり、一番肝心な顧客への信頼、安心の元である、セキュリティレベルが上がらないということに成りかねません。

情報は組織にとってかけがえのない資産であり、管理・保全が疎かになっていた場合、重大なトラブルが起きてしまう可能性もありえます。

業務を進めることができなくなるほか、顧客からの信用も失うため、情報の管理・保全は徹底して行わなければいけませんよね。

このあたり、手間と費用を天秤にかけて、どこまで費用をかけて、どこまで自社が関わって行くのかをよく検討して、取り組みを始めることをオススメします。

いかがでしたでしょうか。ISO27001（ISMS）を取得するデメリットとはについてお話ししてきましたが、ご理解いただけましたか？

ISOコムは専門的な知識や経験を活かし、皆さんの会社の身の丈に合った、わかりやすくて使いやすい、業務負担の少ないISO27001（ISMS）の取得を支援します。

ISOコムにご相談いただければ、取得までの時間を大幅に短縮できるほか、取得後もご不安な場合には充実したサポートを受けられますよ。

最後までご覧いただき、ありがとうございます。

ご興味のある方は今すぐこちらまでご相談を！
ISOコム株式会社お問合せ窓口 0120-549-330